Computer >> Máy Tính >  >> Hệ thống >> Windows 10

Cách phát hiện rootkit trong Windows 10 (Hướng dẫn chuyên sâu)

Rootkit được tin tặc sử dụng để che giấu phần mềm độc hại dai dẳng, dường như không thể phát hiện trong thiết bị của bạn. Phần mềm này sẽ âm thầm đánh cắp dữ liệu hoặc tài nguyên, đôi khi trong nhiều năm. Chúng cũng có thể được sử dụng trong thời trang keylogger nơi các thao tác gõ phím và giao tiếp của bạn được khảo sát để cung cấp cho người xem thông tin về quyền riêng tư.

Phương pháp hack cụ thể này có mức độ liên quan nhiều hơn trước năm 2006, trước khi Microsoft Vista yêu cầu các nhà cung cấp phải ký kỹ thuật số tất cả các trình điều khiển máy tính. Kernel Patch Protection (KPP) đã khiến các tác giả phần mềm độc hại thay đổi phương thức tấn công của họ và chỉ gần đây nhất là vào năm 2018 với hoạt động gian lận quảng cáo Zacinlo, rootkit mới trở lại tiêu điểm.

Cách phát hiện rootkit trong Windows 10 (Hướng dẫn chuyên sâu)

Các rootkit trước năm 2006 đều dựa trên hệ điều hành cụ thể. Tình huống Zacinlo, một rootkit từ họ phần mềm độc hại Detrahere, đã cho chúng ta một thứ thậm chí còn nguy hiểm hơn ở dạng rootkit dựa trên phần sụn. Bất chấp điều đó, rootkit chỉ chiếm khoảng một phần trăm tổng số phần mềm độc hại đầu ra được nhìn thấy hàng năm.

Mặc dù vậy, vì sự nguy hiểm mà chúng có thể gây ra, nên cần thận trọng khi hiểu cách phát hiện các rootkit có thể đã xâm nhập vào hệ thống của bạn hoạt động.

Phát hiện Rootkit trong Windows 10 (In-Depth)

Cách phát hiện rootkit trong Windows 10 (Hướng dẫn chuyên sâu)

Zacinlo thực sự đã chơi được gần sáu năm trước khi bị phát hiện nhắm mục tiêu vào nền tảng Windows 10. Thành phần rootkit có thể định cấu hình cao và tự bảo vệ khỏi các quy trình mà nó cho là nguy hiểm đối với chức năng của nó và có khả năng chặn và giải mã các liên lạc SSL.

Nó sẽ mã hóa và lưu trữ tất cả dữ liệu cấu hình của nó trong Windows Registry và trong khi Windows đang tắt, nó sẽ tự ghi lại từ bộ nhớ vào đĩa bằng một tên khác và cập nhật khóa đăng ký của nó. Điều này đã giúp nó tránh bị phần mềm chống vi-rút tiêu chuẩn của bạn phát hiện.

Điều này cho thấy rằng một phần mềm chống vi-rút hoặc phần mềm chống phần mềm độc hại tiêu chuẩn là không đủ để phát hiện rootkit. Mặc dù vậy, có một số chương trình chống phần mềm độc hại cấp cao nhất sẽ cảnh báo bạn khi có nghi ngờ về một cuộc tấn công rootkit.

5 thuộc tính chính của một phần mềm chống vi-rút tốt

Cách phát hiện rootkit trong Windows 10 (Hướng dẫn chuyên sâu)

Hầu hết các chương trình chống vi-rút nổi bật hiện nay sẽ thực hiện tất cả năm phương pháp đáng chú ý này để phát hiện rootkit.

  • Phân tích dựa trên chữ ký - Phần mềm chống vi-rút sẽ so sánh các tệp đã ghi với chữ ký đã biết của rootkit. Phân tích cũng sẽ tìm kiếm các mẫu hành vi bắt chước các hoạt động vận hành nhất định của các bộ rootkit đã biết, chẳng hạn như sử dụng cổng tích cực.
  • Phát hiện đánh chặn - Hệ điều hành Windows sử dụng các bảng con trỏ để chạy các lệnh được biết đến để nhắc rootkit hoạt động. Vì rootkit cố gắng thay thế hoặc sửa đổi bất kỳ thứ gì được coi là mối đe dọa, điều này sẽ khiến hệ thống của bạn không có mặt chúng.
  • So sánh Dữ liệu Đa Nguồn - Rootkit, trong nỗ lực giấu kín, có thể thay đổi một số dữ liệu nhất định được trình bày trong một bài kiểm tra tiêu chuẩn. Kết quả trả về của các lệnh gọi hệ thống cấp cao và cấp thấp có thể loại bỏ sự hiện diện của rootkit. Phần mềm cũng có thể so sánh bộ nhớ xử lý được tải vào RAM với nội dung của tệp trên đĩa cứng.
  • Kiểm tra tính toàn vẹn - Mọi thư viện hệ thống đều sở hữu một chữ ký số được tạo vào thời điểm hệ thống được coi là “sạch”. Phần mềm bảo mật tốt có thể kiểm tra thư viện xem có bất kỳ thay đổi nào đối với mã được sử dụng để tạo chữ ký số hay không.
  • So sánh sổ đăng ký - Hầu hết các chương trình phần mềm chống vi-rút đều có các chương trình này theo lịch trình đặt trước. Tệp sạch sẽ được so sánh với tệp khách trong thời gian thực, để xác định xem máy khách có chứa hoặc chứa tệp thực thi không được yêu cầu (.exe) hay không.

Thực hiện quét Rootkit

Cách phát hiện rootkit trong Windows 10 (Hướng dẫn chuyên sâu)

Thực hiện quét rootkit là nỗ lực tốt nhất để phát hiện nhiễm trùng rootkit. Thông thường, hệ điều hành của bạn không thể được tin cậy để tự xác định rootkit và đưa ra một thách thức để xác định sự hiện diện của nó. Rootkit là những gián điệp bậc thầy, hầu như luôn che giấu dấu vết của chúng và có khả năng ẩn mình trong tầm nhìn rõ ràng.

Nếu bạn nghi ngờ một cuộc tấn công bằng vi-rút rootkit đã diễn ra trên máy của mình, một chiến lược tốt để phát hiện là tắt nguồn máy tính và thực hiện quét từ một hệ thống sạch đã biết. Một cách chắc chắn để xác định vị trí rootkit trong máy của bạn là thông qua phân tích kết xuất bộ nhớ. Rootkit không thể ẩn các hướng dẫn mà nó cung cấp cho hệ thống của bạn khi nó thực thi chúng trong bộ nhớ của máy.

Sử dụng WinDbg để phân tích phần mềm độc hại

Cách phát hiện rootkit trong Windows 10 (Hướng dẫn chuyên sâu)

Microsoft Windows đã cung cấp công cụ gỡ lỗi đa chức năng của riêng mình có thể được sử dụng để thực hiện quét gỡ lỗi trên các ứng dụng, trình điều khiển hoặc chính hệ điều hành. Nó sẽ gỡ lỗi chế độ hạt nhân và mã chế độ người dùng, giúp phân tích các kết xuất sự cố và kiểm tra các thanh ghi CPU.

Một số hệ thống Windows sẽ đi kèm với WinDbg đã được tích hợp sẵn. Những hệ thống không có sẽ cần tải xuống từ Microsoft Store. WinDbg Preview là phiên bản WinDbg hiện đại hơn, cung cấp hình ảnh dễ nhìn hơn, cửa sổ nhanh hơn, tập lệnh hoàn chỉnh và các lệnh, tiện ích mở rộng và quy trình làm việc giống như bản gốc.

Ở mức tối thiểu, bạn có thể sử dụng WinDbg để phân tích bộ nhớ hoặc kết xuất sự cố, bao gồm cả Màn hình xanh chết chóc (BSOD). Từ kết quả, bạn có thể tìm kiếm các dấu hiệu của cuộc tấn công bằng phần mềm độc hại. Nếu bạn cảm thấy rằng một trong các chương trình của mình có thể bị cản trở bởi sự hiện diện của phần mềm độc hại hoặc đang sử dụng nhiều bộ nhớ hơn mức cần thiết, bạn có thể tạo tệp kết xuất và sử dụng WinDbg để giúp phân tích nó.

Một kết xuất bộ nhớ hoàn chỉnh có thể chiếm dung lượng ổ đĩa đáng kể, vì vậy có thể tốt hơn nếu thực hiện Chế độ hạt nhân kết xuất hoặc kết xuất Bộ nhớ nhỏ thay thế. Kết xuất Chế độ hạt nhân sẽ chứa tất cả thông tin sử dụng bộ nhớ của hạt nhân tại thời điểm xảy ra sự cố. Một kết xuất Bộ nhớ nhỏ sẽ chứa thông tin cơ bản về các hệ thống khác nhau như trình điều khiển, hạt nhân và hơn thế nữa, nhưng so sánh thì rất nhỏ.

Kết xuất bộ nhớ nhỏ hữu ích hơn trong việc phân tích lý do tại sao BSOD xảy ra. Để phát hiện rootkit, phiên bản hoàn chỉnh hoặc phiên bản hạt nhân sẽ hữu ích hơn.

Tạo tệp kết xuất chế độ hạt nhân

Cách phát hiện rootkit trong Windows 10 (Hướng dẫn chuyên sâu)

Tệp kết xuất Chế độ hạt nhân có thể được tạo theo ba cách:

  • Bật tệp kết xuất từ ​​Bảng điều khiển để cho phép hệ thống tự gặp sự cố
  • Bật tệp kết xuất từ ​​Bảng điều khiển để buộc hệ thống gặp sự cố
  • Sử dụng công cụ gỡ lỗi để tạo một công cụ cho bạn

Chúng tôi sẽ đi với lựa chọn số ba.

Để thực hiện tệp kết xuất cần thiết, bạn chỉ cần nhập lệnh sau vào cửa sổ Lệnh của WinDbg.

Cách phát hiện rootkit trong Windows 10 (Hướng dẫn chuyên sâu)

Thay thế Tên tệp với tên thích hợp cho tệp kết xuất và dấu “?” với một f . Đảm bảo rằng “f” là chữ thường, nếu không bạn sẽ tạo một loại tệp kết xuất khác.

Khi trình gỡ lỗi đã chạy xong (quá trình quét đầu tiên sẽ mất vài phút), một tệp kết xuất sẽ được tạo và bạn có thể phân tích các phát hiện của mình.

Việc hiểu những gì bạn đang tìm kiếm, chẳng hạn như mức sử dụng bộ nhớ dễ bay hơi (RAM), để xác định sự hiện diện của rootkit cần có kinh nghiệm và thử nghiệm. Mặc dù không được khuyến nghị cho người mới sử dụng, nhưng có thể kiểm tra các kỹ thuật phát hiện phần mềm độc hại trên một hệ thống đang hoạt động. Để làm được điều này, bạn sẽ cần đến kiến ​​thức chuyên môn và kiến ​​thức chuyên sâu về hoạt động của WinDbg để không vô tình triển khai một loại vi-rút đang hoạt động vào hệ thống của bạn.

Có nhiều cách an toàn hơn, thân thiện với người mới bắt đầu để phát hiện ra kẻ thù giấu mặt của chúng ta.

Phương pháp quét bổ sung

Cách phát hiện rootkit trong Windows 10 (Hướng dẫn chuyên sâu)

Phát hiện thủ công và phân tích hành vi cũng là những phương pháp đáng tin cậy để phát hiện rootkit. Cố gắng phát hiện ra vị trí của rootkit có thể là một vấn đề lớn, vì vậy, thay vì nhắm mục tiêu chính rootkit, bạn có thể tìm kiếm các hành vi giống rootkit.

Bạn có thể tìm kiếm rootkit trong các gói phần mềm đã tải xuống bằng cách sử dụng các tùy chọn cài đặt Nâng cao hoặc Tùy chỉnh trong khi cài đặt. Những gì bạn cần tìm là bất kỳ tệp lạ nào được liệt kê trong chi tiết. Những tệp này nên bị loại bỏ hoặc bạn có thể thực hiện tìm kiếm nhanh trên mạng để tìm bất kỳ tham chiếu nào đến phần mềm độc hại.

Tường lửa và báo cáo ghi nhật ký của chúng là một cách cực kỳ hiệu quả để khám phá rootkit. Phần mềm sẽ thông báo cho bạn nếu mạng của bạn đang được giám sát chặt chẽ và nên cách ly mọi tải xuống không thể nhận dạng hoặc đáng ngờ trước khi cài đặt.

Nếu bạn nghi ngờ rằng bộ rootkit có thể đã có trên máy của mình, bạn có thể đi sâu vào các báo cáo ghi nhật ký tường lửa và tìm kiếm bất kỳ hành vi nào khác thường.

Xem lại báo cáo ghi nhật ký tường lửa

Cách phát hiện rootkit trong Windows 10 (Hướng dẫn chuyên sâu)

Bạn sẽ muốn xem lại các báo cáo ghi nhật ký tường lửa hiện tại của mình, tạo một ứng dụng nguồn mở như IP Traffic Spy với khả năng lọc nhật ký tường lửa, một công cụ rất hữu ích. Các báo cáo sẽ cho bạn thấy những gì cần thiết để xem nếu một cuộc tấn công xảy ra.

Nếu bạn có một mạng lớn với tường lửa lọc đầu ra độc lập, thì IP Traffic Spy sẽ không cần thiết. Thay vào đó, bạn sẽ có thể xem các gói gửi đến và gửi đi tới tất cả các thiết bị và máy trạm trên mạng thông qua nhật ký tường lửa.

Cho dù bạn đang ở trong gia đình hay cơ sở kinh doanh nhỏ, bạn có thể sử dụng modem do ISP của bạn cung cấp hoặc nếu bạn sở hữu một bộ định tuyến hoặc tường lửa cá nhân để lấy nhật ký tường lửa. Bạn sẽ có thể xác định lưu lượng truy cập cho từng thiết bị được kết nối với cùng một mạng.

Nó cũng có thể có lợi khi bật các tệp Nhật ký Tường lửa của Windows. Theo mặc định, tệp nhật ký bị tắt nghĩa là không có thông tin hoặc dữ liệu nào được ghi.

  • Để tạo tệp nhật ký, hãy mở chức năng Chạy bằng cách nhấn phím Windows + R .
  • Nhập wf.msc vào hộp và nhấn Enter .
Cách phát hiện rootkit trong Windows 10 (Hướng dẫn chuyên sâu)
  • Trong cửa sổ Tường lửa và Bảo mật Nâng cao của Windows, đánh dấu “Tường lửa của Bộ bảo vệ Windows với Bảo mật Nâng cao trên Máy tính Cục bộ” ở menu bên trái. Ở ngoài cùng bên phải menu bên dưới “Tác vụ”, hãy nhấp vào Thuộc tính .
Cách phát hiện rootkit trong Windows 10 (Hướng dẫn chuyên sâu)
  • Trong cửa sổ hộp thoại mới, điều hướng đến tab “Hồ sơ riêng tư” và chọn Tùy chỉnh , bạn có thể tìm thấy phần này trong phần “Ghi nhật ký”.
Cách phát hiện rootkit trong Windows 10 (Hướng dẫn chuyên sâu)
  • Cửa sổ mới sẽ cho phép bạn chọn dung lượng tệp nhật ký để ghi, nơi bạn muốn tệp được gửi và liệu chỉ ghi nhật ký các gói bị rớt, kết nối thành công hay cả hai.
Cách phát hiện rootkit trong Windows 10 (Hướng dẫn chuyên sâu)
  • Các gói bị rơi là những gói mà Tường lửa của Windows đã thay mặt bạn chặn.
  • Theo mặc định, các mục nhật ký Tường lửa của Windows sẽ chỉ lưu trữ 4MB dữ liệu cuối cùng và có thể được tìm thấy trong % SystemRoot% \ System32 \ LogFiles \ Firewall \ Pfirewall.log
  • Lưu ý rằng việc tăng giới hạn kích thước đối với việc sử dụng dữ liệu cho nhật ký có thể ảnh hưởng đến hiệu suất máy tính của bạn.
  • Nhấn OK khi hoàn thành.
  • Tiếp theo, lặp lại các bước tương tự bạn vừa trải qua trong tab “Hồ sơ riêng tư”, chỉ lần này trong tab “Hồ sơ công khai”.
    • Giờ đây, nhật ký sẽ được tạo cho cả kết nối công khai và riêng tư. Bạn có thể xem các tệp trong trình soạn thảo văn bản như Notepad hoặc nhập chúng vào bảng tính.
    • Giờ đây, bạn có thể xuất các tệp nhật ký vào một chương trình phân tích cú pháp cơ sở dữ liệu như IP Traffic Spy để lọc và sắp xếp lưu lượng nhằm dễ dàng xác định.

Theo dõi bất kỳ điều gì bất thường trong các tệp nhật ký. Ngay cả lỗi hệ thống nhỏ nhất cũng có thể cho thấy bạn bị nhiễm rootkit. Điều gì đó xảy ra với việc sử dụng quá nhiều CPU hoặc băng thông khi bạn không chạy bất cứ thứ gì quá đòi hỏi hoặc ở tất cả, có thể là một manh mối chính.